30 settembre 2014

All'alba dell'emergere del mercato dei computer personali, i programmi malevoli venivano creati soprattutto per divertimento od ostentazione e non per guadagno. Gradualmente però gli scrittori dei virus si sono interessati alla possibilità di procurarsi redditi tramite il malware, e al momento nell'enorme numero di minacce informatiche è difficile trovare una che fosse stata creata con uno scopo diverso. A questo proposito, gli analisti dei virus Doctor Web hanno avuto la fortuna di scoprire una minaccia rara e insolita che oltre a tutto funziona non sui pc, ma sugli smartphone e tablet Android. Benché abbia valore per gli analisti, il nuovo programma malevolo è comunque un serio pericolo per gli utenti, in quanto elimina tutte le informazioni dalla scheda di memoria, impedisce la lettura degli sms in ingresso ed interferisce con il normale funzionamento dei programmi di messaggistica, bloccandone le finestre.

Il nuovo trojan per Android, inserito nel database dei virus Doctor Web sotto il nome dell'Android.Elite.1.origin, appartiene a un tipo di malware abbastanza raro, ovvero ai programmi-vandali. Di solito i malintenzionati creano tali programmi malevoli non per guadagnare, ma per affermare le loro competenze di programmazione o per esprimere il loro punto di vista a proposito di qualche evento oppure per divertimento o teppismo. Tali programmi mostrano vari messaggi, danneggiano i file dell'utente ed interferiscono con il normale funzionamento del dispositivo infetto. Proprio così agisce il nuovo trojan per Android che si diffonde sotto forma di popolari applicazioni, per esempio giochi.

All'avvio, il malware Android.Elite.1.origin cerca di ottenere in modo fraudolento l'accesso alle funzioni da amministratore del dispositivo mobile che sarebbero necessarie per la corretta installazione dell'applicazione. Se ci è riuscito, il trojan inizia subito a formattare la scheda SD collegata, eliminando tutte le informazioni conservate su di essa. In seguito, il programma malevolo aspetta l'avvio di popolari applicazioni di messaggistica.

Non appena l'utente ha avviato il client ufficiale di Facebook, le applicazioni WhatsApp Messenger, Hangouts o le applicazioni di sistema per il processamento di sms, l'Android.Elite.1.origin ne blocca le finestre attive e visualizza sullo schermo un'immagine con la dicitura OBEY or Be HACKED. Vengono bloccate soltanto queste applicazioni, mentre non viene impedito il funzionamento di altri programmi o del sistema operativo in generale.

Per limitare ancora di più l'accesso dell'utente agli strumenti di comunicazione mobile, il trojan impedisce la lettura di tutti gli sms in ingresso e per questo scopo nasconde gli avvisi dei nuovi sms. Tutti gli sms vengono salvati nella sezione "in ingresso" che resta non disponibile a causa del blocco.

Oltre alla formattazione della scheda SD e al blocco parziale dei programmi di comunicazione, ogni cinque secondi il trojan Android.Elite.1.origin invia a tutti i contatti trovati nel telefono gli sms con il seguente testo:

HEY!!! [nome del contatto] Elite has hacked you.Obey or be hacked.

Inoltre, un testo simile viene inviato in risposta a tutti gli SMS in entrata, arrivati dai numeri di telefono mobile di altri utenti:

Elite has hacked you.Obey or be hacked.

Di conseguenza, il credito del telefono mobile infetto potrebbe esaurirsi in pochi minuti e persino in pochi secondi.

Gli specialisti Doctor Web avvertono gli utenti che non è consigliabile scaricare applicazioni da fonti non attendibili. Non è consigliabile inoltre conferire i permessi da amministratore del dispositivo mobile a tali applicazioni per evitare la corruzione di file od altri effetti negativi. La firma antivirale del trojan Android.Elite.1.origin è stata inserita nel database di rilevamento, quindi gli utenti dell'antivirus Dr.Web per Android e di Dr.Web per Android Light sono protetti in modo sicuro contro questi attacchi.